Розробка цифрових продуктів не обмежується лише технічними та бізнесовими аспектами. Для компаній, що працюють із маркетплейсами мобільних застосунків (тобто практично для всіх диджитал-бізнесів) критично важливо дотримуватися комплаєнсу. Що це таке, та у чому його необхідність для бізнесу? Які виклики можуть з’являтися під час впровадження цього напряму? Чи можна автоматизувати процеси в цій ніші? Розбираємося разом із Русланом Ніфтуллаєвим, Head of Compliance у Genesis.
Комплаєнс в IT: що це та в чому важливість для бізнесу
Комплаєнс — це відповідність маркетингових матеріалів, контенту та IT-продуктів вимогам політик глобальних платформ на кшталт Meta, Google, Apple, TikTok тощо. Зазвичай подібні компанії створюють великі збірки правил щодо загальної поведінки на майданчику, розміщення рекламних оголошень, контенту та продуктів, а також їхньої монетизації.
Майже уся ця інформація знаходиться у відкритому доступі, аби ті, хто працює з платформами могли ознайомитися з правилами, — і нічого не порушувати. Останнє може привести до наслідків різного ступеня критичності — від блокування рекламного кабінету до закриття бізнесу.
За дотриманням політик App Store, Facebook чи TikTok у великих бізнесах може відповідати окрема людина — комплаєнс-спеціаліст. Він не лише допомагає дотримуватися правил, а й стежить за їхньою актуальністю та змінами, а якщо потрібно — допомагає пристосуватися.
Чому комплаєнс важливий для IT-компаній
Комплаєнс допомагає управляти ризиками та безперебійно функціонувати на глобальних майданчиках. Розглянемо його функції на прикладі Genesis — кофаундингової компанії, комплаєнс-юніт якої щодня має справу з різними кейсами. Всі завдання можна поділити на чотири групи.
1. Продуктовий комплаєнс
Це перевірка мобільних застосунків бізнесів на відповідність політикам App Store та Google Play. Робота тут відбувається у кілька етапів: аналіз бізнес-моделі та взаємодії з користувачами → оцінка контенту та функціоналу → надання фідбеку командам.
Окрім цього, команда активно співпрацює з безпосередньо платформами. Наприклад, якщо застосунок отримує скаргу від майданчика, вона оперативно готує апеляції, аргументує відповідність політикам, визначає подальші кроки та сприяє змінам, якщо вони необхідні.
2. Маркетинговий комплаєнс.
Це близько 60–70% роботи команди. IT-бізнеси активно розвивають диджитал-маркетинг, співпрацюючи з глобальними платформами, тож комплаєнс-юніт тут має дві ключові функції:
консультації — допомога бізнесам в оцінці рекламних ідей із погляду ризиків і можливостей;
контроль за тим, щоби бізнеси дотримувалися рекомендацій і не застосовували ризиковані методи промо, які можуть мати негативні наслідки.
«Наприкінці 2024 року Meta запровадила суттєві зміни, що впливають на аналітику рекламних кампаній. Через регуляторні обмеження в Європі та США компанія почала категоризувати джерела даних (Data Sources) — інформацію, що потрібна для аналізу поведінки користувачів та налаштування реклами. Meta заявила, що не можна передавати до системи дані, які містять чутливу інформацію: згадки про фізичне та ментальне здоров'я, сексуальну орієнтацію тощо.
Для бізнесів, які не працюють у перелічених нішах, зміни майже непомітні. Але для всіх інших — це величезна проблема. Без детальних даних неможливо запускати ефективні та конкурентні рекламні кампанії.
Фактично, бізнеси, які потраплять під вплив цієї категоризації, зможуть оптимізувати кампанії через Upper Funnel Events, що далеко не завжди результативно, бо зрозуміти, як користувач взаємодіє з рекламою та продуктом, складніше. А це може призвести до нераціонального використання бюджетів, у чому ніхто не зацікавлений», — говорить Head of Compliance у Genesis Руслан Ніфтуллаєв.
3. Контентний комплаєнс.
Деякі бізнеси Genesis працюють із монетизацією контенту, що вимагає дотримання специфічних політик. Тут потрібно перевірити нюанси монетизації, обмеження, продумати, що робити у випадках блокувань.
4. Освітній напрям.
Передбачає воркшопи та онбординг співробітників у політики платформ. Це допомагає сформувати розуміння важливості правил та уникнути типових помилок, штрафів чи блокування.
Зараз команда шукає Creative Compliance Manager. Якщо вам цікаво розвиватися у цій ніші, переходьте за посиланням.
Виклики комплаєнсу для IT-компаній
Розглянемо їх на прикладі компаній, які працюють за методологією Agile. Серед особливостей методології — швидкі ітерації, кросфункціональні команди, гнучкість та регулярні мітинги для синхронізації роботи команди.
За такого підходу комплаєнс-спеціаліст чи команда має тримати руку на пульсі впродовж усього процесу розробки. Так проєкт зможе уникнути затримок та додаткових витрат на фінальних етапах, коли одна помилка може поставити під загрозу готовність усього продукту. Що вирізняє комплаєнс в Agile?
визначення «критично необхідного мінімуму» — правил, відповідність яким потрібно перевірити безпосередньо перед запуском продукту;
присутність комплаєнс-фахівців на мітингах для виявлення потреб та ризиків, пов’язаних з політиками платформ;
розробка ґайдів або призначення Q&A-сесій, щоб команда могла оперативно одержувати відповіді на свої питання;
інтеграція комплаєнс-завдань у спринти на рівні з усіма іншими.
Три комплаєнс-виклики для стартапів і компаній, які швидко масштабуються
«Комплаєнс — це завжди компроміс. Його суть часто зводиться до пошуку межі між дотриманням правил і збереженням можливостей для зростання», — говорить Руслан Ніфтуллаєв. Водночас, уточнює він, політики платформ однакові для всіх — і для великих, і для малих компаній. Заблокувати можуть будь-кого, незалежно від розміру бізнесу. Однак швидке зростання так чи інакше передбачає низку викликів.
Необхідність не відставати від змін у політиках платформ.
Бути в курсі нормативних вимог, які постійно змінюються, та дотримуватися їх — основний челендж для фахівців, що працюють зі стартапами. Потрібно не лише стежити за правилами, а й вчасно імплементувати їх у продукт. Якщо стартап працює автономно, подібне завдання може вимагати багато ресурсу команди або ж залучення комплаєнс-спеціалістів на аутсорсі.
Масштабування комплаєнс-процесів.
Наступний виклик — грамотне впровадження політик у вже розширений бізнес. Якщо компанія, наприклад, відкрила нові напрями, то на спеціалісті буде лежати відповідальність за вивчення, впровадження та подальшого дотримання нового набору вимог. Це можу бути важко без серйозного досвіду.
Брак ресурсів.
Швидке зростання компанії вимагає фокусу на масштабуванні та задоволенні потреб ринку, тож комплаєнс часто відходить на другий план. Обмежені ресурси, нестача експертизи та слабка внутрішня інфраструктура створюють серйозні ризики як-от бан маркетингових інструментів чи самого продукту.
Міжнародні стандарти комплаєнсу
Часто, чуючи слово «комплаєнс», люди з IT думають в про GDPR, CCPA чи ISO 27001.
GDPR (General Data Protection Regulation) — загальний регламент захисту даних ЄС, який регулює обробку персональних даних громадян Європейського Союзу. Він передбачає отримання згоди користувачів на обробку їхніх даних цифровими продуктами, забезпечення прозорості користування ними та можливості для їхнього видалення.
CCPA (California Consumer Privacy Act) — закон про захист прав споживачів, який застосовується до компаній, які ведуть бізнес у штаті Каліфорнія в США. Він надає жителям штату право знати, які їхні персональні дані збираються, вимагати їх видалення та забороняти продаж даних третім особам.
ISO 27001 — міжнародний стандарт управління інформаційною безпекою, де описані вимоги до створення, впровадження, підтримки та постійного вдосконалення системи управління цією безпекою.
«В контексті нашої діяльності це дуже поширена помилка, адже в Genesis за дотримання цих стандартів відповідають команди Legal та Information Security, а комплаєнс-юніт залишає за собою експертизу в усьому, що стосується правил, які прописані в політиках наших партнерів, а ще — напрацьованих досвідом підходів та лайфхаків. Цю різницю важливо розуміти», — пояснює Руслан Ніфтуллаєв.
Автоматизація комплаєнсу: як ШІ та алгоритми спрощують контроль
Технології допомагають спростити контроль за дотриманням регуляторних вимог, зменшити ручну роботу, мінімізувати ризики помилок і швидше адаптуватися до змін у правилах гри.
В нішах регуляторного чи information security-комплаєнсу на ринку існує велика кількість інструментів, таких як CyberArrow, Vanta, Sprinto, Secureframe, Drata та інші. Ці інструменти спрощують підготовку до аудиту, автоматично збирають та впорядковують необхідні документи.
Аби ефективно працювати з політиками платформ в межах Genesis, комплаєнс-команда вирішила впроваджувати власні ШІ-рішення.
«Раніше ми вручну перевіряли перелік посилань з політиками платформ, аналізували зміни, виписували важливі оновлення. Однак нещодавно один з членів моєї команди за допомогою ШІ чат-ботів створив інструмент, який дає змогу збирати всі апдейти автоматично. Тепер система самостійно «ходить» всіма потрібними ресурсами й «витягує» актуальну інформацію, що значно зменшує рутину», — розповідає Руслан Ніфтуллаєв.
Ще один важливий напрям — внутрішня модерація контенту. «Ми також розробляємо інструмент, який автоматично аналізує опубліковані бізнесами матеріали. Наприклад, якщо алгоритм знаходить у Facebook-постах ризикований контент, він позначає його як такий, де потрібна перевірка. Це критично важливо, адже деякі бізнеси генерують величезні обсяги матеріалів і переглянути їх вручну майже нереально», — додає Руслан.
Порушення комплаєнсу: кейси Uber, Wish та Epic Games
Більшість порушень не виходить за межі конкретних компаній та платформ — кейси або залишаються під NDA або призводять до закриття бізнесів. Водночас випадки, які стають відомими, найчастіше пов’язані з глобальними компаніями. Від наслідків порушення правил платформ та регуляторів не застраховані навіть вони.
За інформацією провідних американських ЗМІ, у 2017 році Uber намагалася обійти правила App Store, через що їх застосунок опинився під загрозою видалення. Apple забороняє відстежувати місцезнаходження користувачів без їхньої згоди, проте команда Uber знайшла спосіб обійти це обмеження.
Маніпуляцію швидко викрили, і Тім Кук особисто викликав Тревіса Каланіка на зустріч, де пригрозив видалити застосунок з маркетплейса. Після цього Uber довелося підкоритися правилам Apple.
Великий американський маркетплейс Wish використав у рекламі неправдиву інформацію щодо цін, а ще — прорекламував заборонені види товару. Через це застосунок маркетплейсу не лише видалили з App Store та Google Play в розпал «Чорної п’ятниці», а й прибрали з результатів пошуку у Google.
У 2020 році видавець ігор Epic Games обійшов платіжну систему Google Play Billing та дозволив користувачам свого бестселера, гри Fortnite, робити віртуальні покупки безпосередньо у грі. Реакція була негайною — продукт видалили з Google Play.
Одночасно Fortnite видалили й з App Store — за ідентичний трюк з прямими покупками у грі. В обох випадках видавець подав до суду. Кейс проти Apple компанія програла, а проти Google — виграла.
Майбутнє комплаєнсу: тренди та виклики
Ключова тенденція диджитал-світу — кількість контенту зростає у геометричній прогресії. Тому ефективно працювати з контент-комплаєнсом, рекламою та модерацією без автоматизації уже не вийде. Ба більше, для самих платформ це теж виклик, говорить Руслан Ніфтуллаєв.
«Якщо 10 років тому модерація переважно здійснювалася вручну, то сьогодні ключову роль у комплаєнсі відіграють алгоритми. Спочатку рішення ухвалює автоматична система, а вже потім його перевіряють модератори. Ми також прагнемо вибудувати подібний підхід, розробляючи власні інструменти», — говорить він.
Так чи інакше, інвестиції в комплаєнс — це вклад у зниження ризиків і зміцнення довіри користувачів. Якщо бізнес прагне довгострокового розвитку, конкурентних переваг і лояльності користувачів, комплаєнс стає критично важливим. Те, як компанія управляє своїми процесами, визначає не лише її стабільність, а й репутацію як надійного роботодавця та партнера.